Home Gobierno Kansas presenta un programa cibernético para proteger los sistemas de agua

Kansas presenta un programa cibernético para proteger los sistemas de agua

Después de que una instalación de tratamiento de agua potable de Kansas se viera comprometida mediante el acceso remoto al teléfono celular de un ex empleado en 2019, el estado está lanzando una herramienta para evaluar la ciberseguridad de las agencias encargadas de mantener segura el agua potable.

Cinco años después de que un filtro en una pequeña instalación de tratamiento de agua potable en Kansas fuera comprometido y manipulado de forma remota, el estado lanzó un programa de evaluación de ciberseguridad para los sistemas públicos de agua.

El nuevo CISO del estado, John Godfrey, lo llama una “iniciativa líder en la nación” para proteger la infraestructura crítica. El Estado tiene experiencia de primera mano con los riesgos de los sistemas de tratamiento de agua vulnerables. En 2019, un ex empleado del Distrito de Agua Rural de Post Rock accedió a los controles del sistema de forma remota a través de un teléfono celular, cerró la planta y apagó uno de sus filtros.

Si bien las tareas habituales del ex empleado para la agencia implicaban acceso remoto, no había trabajado en las instalaciones durante dos meses cuando pudo manipular los controles del sistema fuera del sitio. Dijo a los investigadores que estaba ebrio en el momento del incidente y que no recordaba nada.

En enero de 2024, Kansas inició la fase uno de una herramienta de ciberseguridad en proceso desde 2021 y desarrollada por la Oficina de Seguridad de la Información de Kansas (KISO), el Departamento de Salud y Medio Ambiente de Kansas (KDHE) y el programa Nacional de Protección de Ciberseguridad.

La jefa de la Sección de Suministro Público de Agua (PWS) de KDHE, Cathy Tucker-Vogel, detalló el progreso del nuevo programa en el Subcomité de Medio Ambiente, Fabricación y Materiales Críticos del Congreso del Comité de Energía y Comercio de la Cámara de Representantes a finales de enero, explicando que la herramienta era creado utilizando los Objetivos de desempeño de ciberseguridad desarrollados por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Incluye cuatro etapas, la primera lanzada en enero.

Primera etapa (en curso): Inicio de la divulgación y capacitación a los operadores de agua, presentando el programa de evaluación y cubriendo la importancia de la higiene de la ciberseguridad para defenderse contra ataques cibernéticos que podrían interrumpir las operaciones de tratamiento de agua.

Segunda etapa: los operadores deberán completar una encuesta electrónica de tres a cuatro preguntas para identificar los sistemas de agua que tienen tecnología operativa.

Etapa tres: Todos los sistemas públicos de agua con tecnología operativa deberán completar una evaluación electrónica.

Etapa cuatro: Seguimiento y asistencia técnica de CISA y/o KISO para sistemas públicos de agua con vulnerabilidades de ciberseguridad identificadas durante la evaluación completada en la fase tres.